1-应对新威胁：威胁情报助力互联网应急响应-云晓春

中国互联网安全大会ChinaInternetSecurityConference2015应对新威胁：威胁情报助力互联网应急响应2015.9.30中国互联网安全大会ChinaInternetSecurityConference2015SONY被黑的启示2014年12月，在圣诞节即将到来之际，索尼公司遭遇了重大的APT攻击。上万台电脑受到影，超过100TB的数据遭到盗窃。早在数个月前，黑客组织便已经开始在黑客社区谋划并实施低频攻击，而直到12月初攻击大规模发挥作用时，索尼公司才发觉自己已经被黑。事后，FBI介入调查，可目前仍不能确认攻击者身份与定位。中国互联网安全大会ChinaInternetSecurityConference2015现有安全策略不足以应对新威胁中国互联网安全大会ChinaInternetSecurityConference2015防御的关键在于发现攻击、尽早做出响应中国互联网安全大会ChinaInternetSecurityConference2015我国网络安全应急能力的能力与不足基础资源掌握不全及早预警有效处置及时发现全面追踪未知漏洞和未知攻击监测能力不足宏观状态评估的准确性不足有态无势：微观事件的预警能力不足范围外的攻击事件无法追踪缺乏及时应对重大突发事件的决策能力应急处置效果评估能力不足缺乏对APT攻击的溯源手段大量网络安全事件的处置经验多层次和覆盖广的监测体系网络安全状态的全面感知能力攻击还原及网络层追踪能力中国互联网安全大会ChinaInternetSecurityConference2015威胁情报是解决之道发现未知威胁，快速启动应急措施，阻断攻击组织间协同，一经发现威胁出现，多方面联动防御中国互联网安全大会ChinaInternetSecurityConference2015美成立网络威胁与情报整合中心美国建立起网络与情报整合中心并以此来国土安全部、联邦调查局等多部门的威胁情报，用来应对越来越复杂的网络攻击。CTIIC将归国家情报总监办公室管，今后将是美国政府防范和应对网络威胁的主要部门、一个全国性的网络威胁情报中枢。白宫旨在加强政府各部门之间、政府与企业之间的协调，使相关机构能尽早意识到面临的网络威胁，并采取相应对策。中国互联网安全大会ChinaInternetSecurityConference2015威胁情报定义Gartner：威胁情报是针对一个已经存在或正在显露的威胁或者危害资产行为的，基于证据知识的，包含情境、机制、影响和应对建议的，用于帮助解决威胁或危害决策的知识。iSIGHT:网络威胁情报是关于已经收集、分析、分发的，针对攻击者和其动机、目的手段的，用于帮助所有安全级别的和业务员工用于保护其企业核心资产的知识。中国互联网安全大会ChinaInternetSecurityConference20152015年10月8日客观世界和事实的描述数据之间的关系信息的本质、原则、经验，形成规律知识的综合运用及能力，判断及预测关系规律预测•不同安全需求的问题模型、分析对象、分析方法各不相同。•分析员基于对数据源的理解，针对性确定分析逻辑，通过挖掘数据关系，总结规律，进而形成知识关于知识中国互联网安全大会ChinaInternetSecurityConference2015基于威胁情报，感应未知威胁威胁情报情境感知信誉情报不可信或有问题的IP地址、URL、域名、C2服务器信息...攻击情报攻击源、攻击工具、利用的漏洞、采取的方式...其他情报僵尸网络地址、0day漏洞...Who低信誉或存在攻击行为的用户ToWhat是否申请访问敏感数据When访问时间是否异常What客户端是否存在异常How访问行为异常……中国互联网安全大会ChinaInternetSecurityConference2015威胁情报价值分类TTPs攻击工具网络或主机特征域名IP地址Hash值中国互联网安全大会ChinaInternetSecurityConference2015威胁情报与应急响应恶意样本分析网络数据DNS等产品反馈第三方APT信息跟踪用户反馈黑客组织、社区跟踪网络爬虫Crowing、漏洞信息开源MRTI信息情报来源威胁情报联动的安全管理与应急响应APT事件报告可机器读取的IOC情报共享信息SOC/SIEMNGFW/IPSSEG/SWGWAF应急响应安全服务大数据分析“可行动”的情报策略中国互联网安全大会ChinaInternetSecurityConference2015案例：基于网络大数据的情报分析中国互联网安全大会ChinaInternetSecurityConference2015已知目标网站相似未知网站从十亿个网站入手的相似性发现中国互联网安全大会ChinaInternetSecurityConference2015真假银行网站中国互联网安全大会ChinaInternetSecurityConference2015全球网站入口132在大数据环境下的小概率发现问题中国互联网安全大会ChinaInternetSecurityConference2015大数据的爬取、提取、萃取•原始网页•HTTP包头探测爬取•结构化•属性特征解析提取•非结构化•语义特征分析萃取云平台大数据平台原始数据浅表信息深层信息中国互联网安全大会ChinaInternetSecurityConference2015全球网站基础信息采集十亿域名基于被动域名监测的基础数据全球网站的爬取中国互联网安全大会ChinaInternetSecurityConference2015工商银行首页的文本信息中国互联网安全大会ChinaInternetSecurityConference2015TF-IDF分词，停用词词干提取M:词库规模（几十万量级）N:文档规模（上亿数量级）从三维到M维余弦相似度超大规模矩阵的分解问题文本相似性的计算中国互联网安全大会ChinaInternetSecurityConference2015仿冒网站列表100=434512399.98://tianmaxingko.ip8.jspcn.net/99.96://oiks6.myfw.us/icbc.asp?num=051027-19200786048&money=1.0099.94://://://://=051027-19200786048&money=1.0099.89://=051027-19200786048&money=1.0099.87://=up.hmx99.85://://://199.115.96.196/pay/gong/4.asp?id=335&code=4652799991&money=1.00&orderid=201422100000000000004315324634&num=1%2099.81计算得分网站相似度排名TOP20中国互联网安全大会ChinaInternetSecurityConference2015构建威胁情报生态系统政府机构防病毒厂家Anti—APT厂家漏洞播报平台专业情报厂家检测类产品厂家企业用户政府机构政府机构安全产品厂家云安全服务厂家专业情报厂家情报来源情报产生情报应用中国互联网安全大会ChinaInternetSecurityConference2015Thanks